本サービスには一部、Googleの支援により翻訳されたコンテンツが含まれます。Googleは、明示または黙示を問わず、市場性、特定目的への適合性、ならびに非侵害の黙示的保証を含む、翻訳の精度、信頼性、正確性に関連するあらゆる点において保証しません。

Kaspersky Labの本Webサイトは、便宜上、Google Translateを搭載した翻訳ソフトウェアを利用して翻訳されています。正確な翻訳となるよう合理的な努力を払ってはおりますが、自動翻訳の正確性は完全ではなく、翻訳者(人間)による翻訳に代わるものとして意図されているものでもありません。翻訳はKaspersky Labの本Webサイトをご利用の皆様の利便性を図るためのものであり、「翻訳結果をそのまま」ご提供するものです。英語からその他言語への翻訳における精度、信頼性、正確性に関しては、明示または黙示を問わず、いかなる保証もなされません。翻訳ソフトウェアのため、コンテンツの一部(画像、動画、フラッシュ等)は正しく翻訳されない場合があります。

Trojan.Win32.Angriff

クラス Trojan
プラットフォーム Win32
説明

技術的な詳細

これは、Xpressoの金融情報デスクトップ(http://www.spxpresso.com参照)を攻撃するWin95 / 98 / MEトロイの木馬プログラムです。トロイの木馬は、おそらくハッカーの銀行口座にこれらの取引を転送するために、金融取引を変更するつもりです。このトロイの木馬は、Javaで記述されたXpressoクライアントで使用されるJavaランタイムライブラリに影響を与えています。

トロイの木馬はウイルス検査ではテストされていないため、ハッカーやその他のアカウントへの送金を保証することはできません。実際、トロイの木馬はトランザクションを傍受し、トランザクション制御ブロックのデータを変更します。

このトロイの木馬は、Win32 PE EXEファイルに添付されて配布されます。トロイの木馬のコードは、PE EXEファイルの最後にウイルスのように配置されます。影響を受けるファイルが実行されると、トロイの木馬コードが制御され、システムに主要なトロイの木馬コンポーネントがインストールされます。その後、制御はホストファイルに戻されます。

このトロイの木馬は、単独で他のPE EXEファイルに影響を与えることはできません。特殊な "dropping"トロイの木馬コンポーネント(コマンドラインWin32アプリケーション)が、ユーザーの要求によって被害PE EXEファイルにトロイの木馬コードを添付していることが判明しました。

システムにインストールしている間、トロイの木馬はコードVxDコンポーネント(主なトロイの木馬コンポーネント)から抽出し、新しく作成したMSREBOOT.VXDファイルからWindowsシステムディレクトリに書き込みます。このVxDは、 "VxD Services"レジストリキーに登録されます。

そこにはさらに多くのキーが作成されています:

HKLMSystemCurrentControlSetServicesVxDREBOOT
RebootData = [長さゼロのデータ]
開始= 00
StaticVxD = "* REBOOT、MSREBOOT.VXD"

最初のキーは、トロイの木馬がシステムから自身をアンインストールする日付を示します。トロイの木馬はVXDファイルをゼロで消去し、そのファイルを削除します。

2番目のキーは不明です。

3番目のキーは、Windowsの起動時にWindowsにVXDファイルを読み込ませて起動させる自動ロードレジストリキーです。

トロイの木馬VXDファイルがアクティブになると、メインのトロイの木馬プロシージャはファイルのオープンプロセスを監視し、JavaランタイムライブラリJRT3230.DLLを探します。次に、このライブラリの読み込みをスキップし、読み込みが完了するのを待って、 "do_execute_java_method_vararg" Java関数をフックします。

フックヤーは、Xpressoクライアントを使用して行われた銀行振替を含む、その機能によって処理されるすべてのデータをフックします。トロイの木馬は転送要求構造を解析し、その要求の一部のフィールドを他の値に置き換えます。このトロイの木馬は、元の宛先銀行口座番号をハッカーのものに置き換えているようです。


オリジナルへのリンク